斗象科技完成B轮7000万人民币融资:瞄准的是“白帽子”背后企业级网络安全的大市场
斗象科技近期拿到了7000万元人民币的B轮投资,在国内企业信息安全检测领域,这笔融资并不算小。企业级信息安全领域跑出的公司越来越多,为企业“找互联网漏洞”生意的背后,看起来已经形成了个“互联网信息安全”的小风口。
举一个例子,Facebook和twitter的信息安全业务,都托管给了美国一家叫Hackerone的安全众测平台来完成。而这家公司已经完成了B轮2500万美金的融资。斗象科技的“漏洞盒子”可以看成是中国版的Hackerone,类似的平台还有早先的乌云众测、威客众测、白帽众测,此外传统企业信息安全公司如绿盟和to C 的360科技,也都在开展这方面的业务。
斗象科技的B轮投资方是银杏谷资本、嘉铭资本、张江科投、金浦资本以及线性资本。他们在2015年曾拿到过金浦资本领投,线性资本跟投的3000万元人民币A轮融资。这家最早在2014从互联网安全爱好者社区的起家的互联网安全公司,目前已经过渡到了企业级“信息安全检测”的业务。而这个业务的背后,可能是个千亿级的市场。
根据《信息安全产业发展白皮书(2015版)》,国内信息安全市场从2013年到2016年基本上呈现线性上升的趋势。2013年的国内信息安全的市场规模在300亿左右,在2016年整个信息安全市场容量达到2000亿左右,主要集中在政府、运营商、金融、电商、游戏等细分领域。而2016年国家层面信息安全的政策落地,让企业信息安全的预算越来越大。
斗象科技目前由三部分组成,其中互联网安全社区和媒体Freebuf是平台的基础,社区的用户沉淀出的大部分“白帽子”资源,为公司的企业安全众测平台“漏洞盒子”输出专家资源。而这种安全检测沉淀的业务资源,则为公司的安全监控与风险分析系统“网藤风险感知”提供技术支持。
如果“漏洞盒子”是以“白帽子”的“人”为基础,提供一个连接“信息安全专家”和企业的平台。那么“网藤风险感知”则是一个以人工智能为基础,做的一个SaaS级别的企业安全监控和分析工具。
斗象科技这种从“信息安全检测”切入的公司,目前可能还不是这一市场的主流。传统的从硬件和“防火墙”角度做信息安全架构的公司—如绿盟、思科、启明星,仍然占据着这个市场大部分份额。他们在从底层系统层面,为企业做漏洞检测、代码审计和应急服务等业务。
但这种从“布防”角度做企业信息安全已经越来不能满足企业的需求,近期“裸条”、“电信数据泄漏”等信息安全漏洞频发,让斗象科技这种从应用层面、找信息安全漏洞的模式,越来越成为企业级信息安全的刚需。他们的技术方法,大都以“白帽子”为主力军,通过各种不同的检测逻辑找到企业的安全漏洞。
而业务模式,则主要以“安全众测”平台为基础,平台提供企业安全检测的“任务包”,白帽子发挥自己技术优势找到企业app获网页的信息漏洞,按效果计费。按照斗象科技联合创始人兼CEO袁劲松的表述,用“共享经济”做企业应用层面的安全检测,看起来比传统的安全检测更为奏效。
袁劲松认为这种“共享经济”的核心在于信任,企业需要对平台和“白帽子”给予充分信任,而这种信任的基础,一方面在于白帽子的技术水平,另一方面则在于平台对于“白帽子”的“审核准入”和“实施期间的风控”。这两点都是众多安全众测平台的核心竞争点之一。
在白帽子资源方面,斗象科技已经沉淀了35000个“白帽子”资源,其中大部分来源于Freebuf社区。社区一方面利用媒体和社区的优势,吸引了大部分白帽子资源,另一方面,也通过培训和“漏洞检测”大赛的模式,提高白帽子的技术水平。
在进入“漏洞盒子”专家库方面,平台设置了四层风控体系,包括远程面试(专门审核人员)、基本考核、背景调查(过去的安全纪录)和专家协议等角度进行审核风控。而在任务执行中,也通过流量审计的方式,全面监控白帽子的行为,以防“网络黑产”的发生。当然,平台方面需要和企业签订类似这样的责任协议,以防止企业级安全事件的发生。
目前,斗象科技已经和400家(期)公司实施了类似的安全检测服务,其中主要分为四类。一是互联网公司,如腾讯和携程;二是金融机构,包括银行、支付工具和证券公司等;第三类则是国家级别的政府和网络运营商,比如公安部、政府和上海移动等。最后一类则是物联网领域的公司,包括手表、手环、车联网厂商等。
相对来说,这种对用户安全具有较大风险的公司,对安全检测的需求更为迫切。
就目前来看,大部分政府和国企仍然采取和传统的互联网安全公司,如绿盟、启明星等公司合作,来提供相对“正统”的代码检测等服务。“白帽子”的安全众测势必带有某些“野路子”的意思,对于平台来说,一方面要保证白帽子的稳定性和技术水平,另外一方面,也要为企业级别的安全做更多的管控和保障。而这是考验包括斗象科技在内的多家做安全众测公司的核心挑战。
目前公司团队在70人左右,大部分在研发领域。创始人袁劲松早先任职于绿盟、百度和携程,公司也有来自阿里、华为、CheckPoint、思科等公司的团队。